Un „CEO” m-a contactat pentru o slujbă cu contract inteligent – A fost o înșelătorie

În calitate de inginer Blockchain și expert în dezvoltatori Chainlink, cu peste cinci ani de experiență în dezvoltarea Web3, călătoria mea în cercetarea în domeniul securității contractelor inteligente a început cu o realizare simplă, adică în acest spațiu care evoluează rapid, a putea construi în siguranță este la fel de important ca și a putea construi.

Experiența mea se întinde pe mai multe ecosisteme blockchain, inclusiv Ethereum, Hedera, Rootstock și diverse lanțuri EVM augmentate de rețeaua Chainlink Oracle. De-a lungul carierei mele, am dezvoltat sisteme complexe de la piețele de servicii de bandă largă prin satelit folosind NFT-uri dinamice până la protocoale de energie regenerabilă cu recompense simbolizate. Dar pe măsură ce experiența mea în spațiu a crescut, la fel a crescut și conștientizarea vulnerabilităților sale.

Acesta este motivul pentru care m-am alăturat programului Cyfrin Updraft în noiembrie 2023. În calitate de inginer Blockchain și dezvoltator Full Stack, am recunoscut nevoia critică de a identifica escrocii și actorii răi în domeniul Web3. Acest spațiu, încă la început, este, din păcate, afectat de entități rău intenționate care caută să exploateze deopotrivă dezvoltatorii și utilizatorii nebănuiți.

Realitatea amenințărilor de securitate Web3

Ecosistemul Web3, în ciuda promisiunilor sale de descentralizare și transparență, rămâne un teren fertil pentru escroci. Călătoria mea de securitate a fost motivată de faptul că am asistat la nenumărate proiecte victime ale exploatărilor, hackurilor și schemelor frauduloase. De la vulnerabilități de reintrare la atacuri de împrumut flash, vectorii de atac tehnic sunt numeroși. Dar dincolo de amenințările la nivel de cod, există un pericol mai insidios, adică ingineria socială care vizează dezvoltatorii înșiși.

Alertă pentru escroci: o întâlnire recentă

Recent, am fost abordat de escroci prin LinkedIn, un teren de vânătoare comun pentru prădătorii care caută talent tehnic. Ei s-au prezentat ca profesioniști legitimi în afaceri care caută colaborare la un proiect. Permiteți-mi să împărtășesc această experiență ca o poveste de avertizare pentru toți dezvoltatorii Web3.

O persoană care se numește „Joe”, pretinzând că este CEO al unei companii numite MindGeek Labs (cu un site web la mindgeeklabs.com), a contactat cu privire la un presupus proiect. Ei au avut un depozit GitHub (github.com/mindgeek-pm) și au susținut că au nevoie de ajutor pentru a-și duce platforma la „nivelul următor”, adică o platformă concepută pentru a oferi utilizatorilor instrumente pentru tranzacționarea și investițiile criptomonede.

Iată mesajul lor inițial:

 Hi Edwin, I hope this message finds you well. We are in the process of expanding our EVM chain platform, and we are seeking highly skilled software developers to help us scale and enhance the platform. I'd like to explore the potential for collaboration with you on this initiative. 👉 Here are the key details: 1️⃣ Team: 6-8 members 2️⃣ Rate: $80-150/hr (depending on role and experience) 3️⃣ Project Timeline: 3-6 months 4️⃣ Estimated Budget: $700K–$800K (for 6 months) 5️⃣ Work Setup: Fully remote with flexible hours (Part-time opportunities available) 6️⃣ Payment: Crypto preferred (USDT, USDC, ETH) If this opportunity aligns with your interests and availability, I would be happy to discuss the specifics further and explore how we can work together. Looking forward to your response. Best regards, Joe

Momeala a fost atractivă, cu tarife orare ridicate, un buget substanțial, lucru la distanță și plăți cripto. Dar ceva mi s-a părut în neregulă, așa că am decis să joc împreună pentru a le înțelege metodele și a le expune funcționarea.

Au continuat cu mai multe detalii despre presupusul lor proiect:

 Okay, first of all, let me briefly share some details about our project. Our platform encompasses key functionalities such as pooling, liquidity provision, staking (farming), and trading. We are in the process of developing a decentralized exchange (DEX) platform for traders within the EVM network, with plans to integrate an Automated Market Maker (AMM) mechanism. Initially, we hired a team to help with our project, but unfortunately, their coding skills didn't meet our expectations. As a result, we are seeking a more experienced team to take over and lead the development of this project. Here's a brief overview of our requirements https://docs.google.com/document/d/1Ttr9CdQvSetonrumBKR2jiUIrIwezunmyKU0o9Q7Wvw/edit We also need to implement the mobile design. There are several modifications required to align the platform with our evolving vision. An important aspect to consider is the animation on the landing page. This is crucial because the landing page is the first thing users see when they visit the site. While there is currently an animation, feedback from visual experts and developers suggests that it would be better to remove it. The animation is too tiring on the eyes, and removing it could improve the overall user experience by creating a cleaner design. I'm excited about the direction we're heading, and I believe this project has potential. Our project is being developed using React, TypeScript, Node.js, and Web3. Given your expertise, I believe you would be an excellent fit for the lead role. Would you be available for a meeting with our CTO next week to discuss the project in more detail? Let me share his calendar link with you, Does that work for you?

Au distribuit chiar și un document Google cu cerințe elaborate pentru ceea ce părea a fi un proiect legitim de îmbunătățire a platformei DEX:

 DEX Platform Enhancement Project: Comprehensive Task List (4-Month Contract) 1. Expand Connected Chain List Integrate additional blockchain networks into the existing connected chain list to enhance interoperability and functionality. 2. Integrate Wallets into Connect Wallet Page Objective: Enhance user experience by allowing users to connect multiple wallets seamlessly. Wallets to Add: * MetaMask * Trust Wallet * Coinbase Wallet * Phantom Wallet * OKX Wallet * Binance Wallet * Coin98 * MathWallet * SafePal * TokenPocket 3. Update Trading Page Functionality * Crypto Token List Enhancement: Update the list of available cryptocurrencies to ensure it includes all current tokens. * Add 24-Hour Trading Volume: Implement a section displaying the 24-hour trading volume for each token. * Trading View Graph Updates: Enhance trading view graph features to provide real-time data visualization. * Order List Table Integration: Develop an order list table that displays active orders with real-time updates. * Token Icons in Dropdown: Incorporate brand icons for each token in the dropdown menu of the swap section for improved visual recognition. * Secure Links Section: Ensure all links in the "Useful Links" section are updated and functional, pointing to relevant resources. 4. Revamp Dashboard Page * Theme Update: Redesign the dashboard theme to prominently display key metrics such as 24-Hour Trading Volume, Open Interest, Long Positions, and Short Positions. * UPL Index Composition Table: Update and optimize the UPL Index Composition table for better clarity and data presentation. 5. Overhaul Earn/Buy Page * Token and Modal Links: Revise all token links and associated modal functionality to ensure accuracy and up-to-date information. * Decentralized/Centralized Services Links: Update links to both decentralized and centralized services to enhance the platform's service offerings. * Farm Section Addition: Design and add a new section or page dedicated to farming opportunities, providing users with insights and options. 6. Clean Up Testnet Integrations * Objective: Remove all U2U testnet settings, configurations, and integrations to streamline the platform and avoid confusion for end-users.

Steaguri roșii și Reveal

Configurația a fost elaborată, dar au apărut câteva semnale roșii:

1. Documentul de cerințe detaliate care nu avea detalii tehnice specifice despre baza lor de cod existentă, partajat de pe un Google Drive, mai degrabă decât de propriul site oficial.

2. Explicațiile vagi despre echipa lor anterioară de dezvoltare.

3. Pentru un proiect atât de mare, depozitul lor Github tocmai a fost creat în martie 2025, fără contributori activi.

4. Baza lor de cod era în principal HTML, CSS și JavaScript, fără contracte inteligente sau cod backend.

5. Scopul apelului este de a discuta despre proiect mai detaliat și de a vedea dacă ați clonat depozitul lor și de a-l testa pe mașina dvs. locală.

   
   

În calitate de cercetător în domeniul securității, am continuat să mă interacționez cu ei, stabilind în cele din urmă o întâlnire cu presupusul lor CTO. În timpul acestei întâlniri, i-am confruntat cu privire la faptul că sunt escroci. În momentul în care și-au dat seama că eram pe ei, au dispărut de pe LinkedIn fără urmă. Cu toate acestea, încă am conversația noastră pe LinkedIn, linkul lor Calendly și documentul Google Drive ca dovadă a tentativei lor de înșelătorie.

Manualul tipic de înșelătorie

Pe baza cercetărilor mele de securitate și a acestei întâlniri, iată cum progresează de obicei aceste escrocherii:

1. Contact inițial : escrocii abordează dezvoltatorii de pe platforme profesionale precum LinkedIn cu oferte profitabile
2. Configurare elaborată : creează companii, site-uri web și depozite GitHub false pentru a părea legitime
3. Documentație : împărtășesc cerințe detaliate pentru a da o impresie despre un proiect real
4. The Hook : Ei programează o întâlnire cu un „membru al echipei tehnice” pentru a discuta detaliile proiectului
5. Atacul : În timpul discuțiilor tehnice, ei în cele din urmă ghidează victima către:

   • Clonarea și instalarea depozitului lor, care va conține malware

   • Te conving să rulezi codul lor pentru a testa o parte din funcționalitate

   • Obține acces la portofelele tale cripto

   • Furându-ți toate fondurile

     
     

Odată ce obțin acces la portofele sau instalează programe malware, pot fura fonduri sau pot compromite conturi pentru alte atacuri.

Protejează-te ca dezvoltator Web3

Călătoria mea ca Cercetător în Securitate Smart Contract la Cyfrin Updraft m-a echipat cu cunoștințele pe care fiecare dezvoltator Web3 ar trebui să le aibă:

1. Verificați în detaliu : cercetați pe larg companiile, persoanele fizice și proiectele înainte de a vă implica
2. Abilități de analiză a codului : Învățați să auditați contractele inteligente și să identificați modelele vulnerabile
3. Securitatea pe primul loc : abordați fiecare proiect și interacțiune cu securitatea ca prioritate
4. Nu partajați niciodată chei private : în niciun caz nu trebuie să partajați chei private sau fraze de bază
5. Utilizați medii de testare : pentru orice proiect nou, utilizați portofele și medii de testare dedicate
6. Aveți încredere în instinctele dvs .: Dacă ceva nu se simte neplăcut, probabil că este

Viitorul securității Web3

Experiența mea atât ca dezvoltator blockchain, cât și ca cercetător în securitate mi-a arătat că spațiul Web3 are nevoie de mai mulți profesioniști conștienți de securitate. Pe măsură ce îmi continui călătoria ca cercetător în domeniul securității prin contract inteligent, specializat în fuzzing, testare invariabilă și verificare formală pentru a identifica erorile și a proteja protocoalele Web3, mă angajez să împărtășesc cunoștințele care ajută la creșterea siguranței acestui spațiu.

Rafinamentul atacurilor, atât tehnice, cât și sociale, va continua să evolueze în timp. Dar prin educație, vigilență și o abordare a securității centrată pe comunitate, putem construi un ecosistem mai rezistent.

Dacă sunteți un dezvoltator Web3, vă încurajez să investiți timp în cercetarea și formarea în domeniul securității. Abilitățile de a construi în siguranță sunt la fel de importante ca și capacitatea de a inova. Amintiți-vă, în lumea descentralizată, sunteți adesea propria echipă de securitate.

Să mergem!